Am 2.4.24 wurde die Apache Pulsar Sicherheitslücke CVE-2024-29834 veröffentlicht. Durch diese Schwachstelle können authentifizierte Benutzer mit Produktions- oder Konsumberechtigungen unbefugte Operationen an partitionierten Topics durchführen, wie das Entladen von Topics und das Auslösen von Verdichtungsvorgängen, die normalerweise auf Benutzer mit Tenant-Admin-Rolle oder Superuser-Rolle beschränkt sein sollten. Die Sicherheitslücke betrifft mehrere Versionen von Apache Pulsar, einschließlich der Versionen 2.7.1 bis 2.10.6, 2.11.0 bis 2.11.4, sowie die 3.0.0 bis 3.0.3, 3.1.0 bis 3.1.3 und 3.2.0 bis 3.2.1.
Darüber hinaus ermöglicht die Schwachstelle es einem authentifizierten Benutzer, Namespace-Eigenschaften in jedem Namespace und jedem Mandanten zu lesen, zu erstellen, zu ändern und zu löschen. Diese Namespace-Eigenschaften sind normalerweise für vom Benutzer bereitgestellte Metadaten über den Namespace reserviert.
Betroffene Anwender von Apache Pulsar Version 3.0 sollten auf mindestens Version 3.0.4 upgraden, während Nutzer der Versionen 3.1 und 3.2 auf mindestens 3.2.2 aktualisieren sollten. Benutzer, die frühere Versionen als die genannten betreiben, sollten auf die entsprechenden gepatchten Versionen oder neuere Versionen umsteigen, um sich vor potenziellen Sicherheitsrisiken zu schützen.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: